– Cyberzagrożenia rosną z każdym rokiem, dlatego musimy działać szybciej i skuteczniej niż ci, którzy próbują nas zaatakować. Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony. Nowe przepisy pozwolą szybciej reagować na zagrożenia i lepiej chronić obywateli, instytucje i firmy. Dzięki nim Polska będzie bardziej odporna na cyberataki i przygotowana na wyzwania przyszłości – zapowiada Gawkowski.

Nowe kompetencje, nowe zespoły

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – przyjęta przez rząd we wtorek - to kompleksowa regulacja, której celem jest wzmocnienie ochrony obywateli i instytucji przed cyberzagrożeniami (pisaliśmy o niej w tekście Nowe prawo ma pomóc zwalczać internetowych przestępców).

Gawkowski zapowiada wzmocnienie służb zajmujących się cyberbezpieczeństwem - powstaną nowe zespoły CSIRT (tj. zespoły reagowania na incydenty bezpieczeństwa komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia w poszczególnych obszarach. Pozwolą też zbudować bazę wiedzy o zagrożeniach i podatnościach danego sektora. Sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia.

Natomiast zespoły CSIRT na poziomie krajowym (w tym NASK), zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.

Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje. – W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci – od ministra cyfryzacji, przez pełnomocnika rządu, aż po zespoły CSIRT. Nowe kompetencje pozwolą im działać sprawniej, skuteczniej i bliżej realnych potrzeb obywateli oraz gospodarki – dodaje wiceminister cyfryzacji Paweł Olszewski.

Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego czy prezes UKE) będą mogły wydawać ostrzeżenia, wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy, nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.

Nowe uprawnienia ma zyskać również pełnomocnik rządu do spraw cyberbezpieczeństwa. Będzie on mógł wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów IT. Pełnomocnik mógłby również żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań, jak również nabywać niezbędny software dla Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.

Procedura uznania za dostawcę wysokiego ryzyka

Wzrosną także kompetencje samego ministra cyfryzacji. Będzie on mógł wydawać decyzje w sprawie identyfikacji dostawcy wysokiego ryzyka oraz polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa. Decyzje o uznaniu za dostawcę wysokiego ryzyka mają wyeliminować niebezpieczny sprzęt i usługi z kluczowych dla funkcjonowania państwa systemów IT. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także – opcjonalnie – organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów (UOKiK). Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.

Gawkowski obiecuje, że w pierwszym roku obowiązywania nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa na jej realizację Ministerstwo Cyfryzacji zabezpieczyło 300 milionów złotych, a w kolejnych latach finansowanie ma rosnąć.